To Python-biblioteker har stjålet krypteringsnøgler

1 kommentar.  Hop til debatten
To Python-biblioteker har stjålet krypteringsnøgler
Illustration: Martin Valigursky / Bigstock.
Ondsindede pakker til Python udgav sig for at være populære Python-biblioteker og stjal SSH- og GPG-nøgler fra projekter.
5. december 2019 kl. 08:14
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En hacker har gennem et år forsøgt at stjæle Python-udvikleres SSH- og GPG-nøgler til deres projekter ved at få udviklerne til at downloade hackerens Python-bibliotek med ondsindet kode i.

Det skriver ZDNet.

Hackeren uploadede to biblioteker, hvis navne imiterede de allerede populære Python-biblioteker »dateutil« og »jellyfish«.

Biblioteker fjernet

Den første hed »python3-dateutil«, mens den anden fik navnet »jeIlyfish« – hvor det første L i virkeligheden er et I.

Artiklen fortsætter efter annoncen

Sikkerhedsteamet bag Python har fjernet de to biblioteker efter en advarsel fra en tysk softwareudvikler.

Men mens den ene pakke kun havde været tilgængelig til download i to dage, havde den anden, »jeIlyfish«, ligget på PyPI – Pythons lager til tredjepartssoftware – i næsten et år.

1 kommentar.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
6. december 2019 kl. 16:40

Vi har arbejdet for at gøre opmærksom på problematikken i Pytosquatting siden 2017, og der er desværre ikke taget seriøse skridt i retning af at gøre op med typosquatting mv. på PyPi (Python Packaging Index). Det samme kan siges om de fleste andre åbne distributionskanaler. NPM, Flatpak, Snap osv.